一、漏洞详情

Next.js是基于React的全栈Web应用开发框架，支持服务端渲染、静态站点生成、API 路由等核心能力。

近日，监测到官方修复Next.js服务器端请求伪造漏洞（CVE-2026-44578），该漏洞源于ebSocket Upgrade请求处理路径未应用与普通HTTP请求一致的安全检查策略，导致服务器会代理未经充分验证的外部目标请求。攻击者可以利用该漏洞，通过构造特制的WebSocket升级请求，迫使Next.js服务器向任意内部或外部地址发起请求，从而绕过网络边界防护，实现内网探测、敏感信息窃取以及云环境元数据服务访问等恶意行为。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

13.4.13 <= Next.js < 15.5.16

16.0.0 <= Next.js < 16.2.5

三、修复建议

官方已发布安全补丁，请及时更新至安全版本：

Next.js >= 15.5.16

Next.js 16.* >= 16.2.5